4月21號那天臨下班前發生了一次停電事故,由于UPS電池老化,后備電源沒堅持多久就掛了,導致所有的服務器斷電重啟。數小時候登錄某臺服務器,發現桌面打開了組策略的窗口,初步判斷此服務器已經遭人入侵了,遂檢查本地用戶和組,發現guest用戶被激活并提權到administrators組,且不能刪除這個administrators組(內置賬戶不能執行此操作),查看系統日志,發現19號以前的日志都沒有了,可見這個入侵者是在19號以前入侵的再啟動殺毒軟件,發現上傳文件目錄下被建立了一個av..的文件夾,里面有一個asp文件,這個文件夾不能在資源管理器下進入、查看、刪除、但是可以在DOS下拷貝出那個asp文件,這是個加密過的文件,經上網查詢,得知是用微軟的一款編碼軟件編過碼的,下載解碼軟件解碼后可以看到這是個asp腳本代碼,似乎操作了某某session(具體用途還無從得知),通過殺毒軟件可以刪除這個文件,但是文件夾還是無法刪除,于是連同前面用戶賬戶問題一起擱置下來了,只是對guest改名改密及停用處理。
昨日也就是星期天下午開始對這兩個未解的問題進行攻關,當然所有的技巧、資料都來自網上,通過查詢最終解決了問題,獲得了以下經驗教訓: 1、用戶帳號是可以隱藏的,途徑就是在注冊表SAM-USER下建立一個用戶名跟guest不同,但是指向同一個二進制鍵值(比如都指向了01F5),人為造成帳號讀取出錯,從而在本地用戶和組里隱藏了用戶,處理方法是從其他機器導入guest的F和V的值。 2、用戶所在的組和組包含的用戶必須一致,否則會造成組被隱藏。 3、即使在本地用戶和組看不到用戶,執行net命令還是可以看到,但是不能添加或者刪除組,這個和在圖形界面下的結果是一樣的,即還是需要對注冊表進行修復。 4、每次進行重要的注冊表操作時,都應該進行備份!
| 
QQ好友和群
QQ空間
騰訊微博
騰訊朋友
收藏
淘帖
頂
踩
